設定檔適用性:級別 1
為節點網路 CIDR 範圍創建別名 IP,以便隨後配置基於 IP 的策略和防火牆以保護 Pod。使用別名 IP 的叢集稱為 VPC 原生叢集。
使用別名 IP 有幾個好處:
- Pod IP 在網路中提前保留,這可以防止與其他計算資源發生衝突。
- 網路層可以執行反偽造檢查,以確保出口流量不會使用任意的來源 IP 發送。
- 防火牆控制可以獨立於其節點應用於 Pods。
- 別名 IP 允許 Pods 直接存取託管服務,而不需使用 NAT 閘道。
 |
注意預設情況下,在 Google 雲端主控台中建立新叢集時,VPC 原生(使用別名 IP)已啟動,但在使用 gcloud CLI 建立新叢集時,除非指定
--enable-ip-alias 參數,否則此功能將被停用。 |
影響
您目前無法將使用路由進行 Pod 路由的現有叢集遷移到使用別名 IP 的叢集。
內部服務的叢集 IP 僅能從叢集內部存取。如果您想從 VPC 內部但叢集外部存取 Kubernetes 服務,請使用內部負載平衡器。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 從群集列表中,點擊所需的群集以打開詳細資訊頁面。
- 在網路部分,請確保 VPC 原生流量路由設定為
已啟動。
使用命令列:
要檢查現有叢集的別名 IP 是否已啟動,請執行以下命令:
gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.ipAllocationPolicy.useIpAliases'
如果已啟動 VPC 原生(使用別名 IP),則上述命令的輸出應返回
true。如果 VPC 原生(使用別名 IP)已停用,則上述命令將返回 null ({ })。補救
無法在現有叢集上啟用別名 IP。要使用別名 IP 建立新叢集,請按照以下指示進行。
使用 Google 雲端主控台:
如果使用標準配置模式:
- 前往Kubernetes Engine 網站。
- 點擊CREATE CLUSTER,然後選擇標準配置模式。
- 按需配置您的叢集,然後在導航窗格中的叢集下點擊Networking。
- 在 VPC 原生部分,保持選擇啟用 VPC 原生(使用別名 IP)。
- 點擊CREATE。
如果使用自動駕駛儀配置模式:
|
注意這僅適用於 VPC 原生,且無法停用。
|
- 前往Kubernetes Engine 網站。
- 點擊CREATE CLUSTER,然後選擇自動駕駛配置模式。
- 根據需要配置您的叢集。
- 點擊CREATE。
使用命令行在新叢集上啟用別名 IP,請執行以下命令:
gcloud container clusters create <cluster_name> --zone <compute_zone> --enable-ip-alias
如果使用自動駕駛儀配置模式:
gcloud container clusters create-auto <cluster_name> --zone <compute_zone>